Es sind mittlerweile einige Jahre nach dem Inkrafttreten der DSGVO vergangen. Diese Zeit brachte auch massive Veränderungen mit sich, konnte allerdings den „europäischen Flickenteppich“ in Puncto Datenschutz nicht vereinheitlichen. Diese Lage sorgt bei vielen Managerinnen und Managern, Unternehmerinnen und Unternehmern, Auditorinnen und Auditoren und Datenschutzbeauftragten für Verwirrung. In einzelnen Mitgliedstaaten wird der Datenschutz, je nach Region, unterschiedlich umgesetzt.
Damit die ganze Bevölkerung oder einzelne Personengruppen für das Thema Datenschutz sensibilisiert werden, bedarf es einer klaren, eindeutigen und allgemein verständlichen Auslegung von Gesetzen und Verordnungen. Trotz des generell gesteigerten Datenschutzniveaus in den letzten Jahren sind allgemeingültige Standards nach wie vor dringend notwendig.
Die DSGVO ist vielfach dafür kritisiert worden, dass einige ihrer Formulierungen nicht exakt genug sind. Eigentlich erhoffte man sich mit Einführung der DSGVO eine umfassende Reformierung des geltenden Rechts unter dem Bundesdatenschutzgesetz (BDSG). Allerdings konnte das, wie die DSVGO zeigt, nur in Teilen verwirklicht werden.
Als einer der größten Kritikpunkte gilt die weiterhin bestehende Unklarheit bzgl. der technischen und organisatorische Maßnahmen, die das alte BDSG unter § 9 (Anlage) aufführte. Diese Maßnahmen sind auch als „8 Gebote des Datenschutzes“ bekannt, zumal sie eine ultimative, allumfassende Liste von Maßnahmen enthielten, die ein Unternehmen umsetzen musste, um als datenschutzkonform zu gelten. Allerdings blieb dieser „Maßnahmenkatalog“ viel zu unspezifisch und viel zu weit weg von der Praxis entfernt.
Die DSVGO widmet den technischen und organisatorischen Maßnahmen einen eigenen Artikel. Die „8 Gebote“ schrumpften in Artikel 32 zu 6 Absätzen, ähneln aber inhaltlich sehr stark der alten Fassung des BDSG. Schaffte das mehr Praxisorientierung? Wohl kaum. Klarheit ist auch in der neuen Fassung des BDSG nicht vorhanden. Die technischen und organisatorischen Maßnahmen gehören zum Teil nicht mehr zu diesem Gesetz und behalten ihre Gültigkeit nur für die Strafverfolgung und Justizbehörden.
Mit dem DSC-Standard werden zwei wichtige Lücken geschlossen, die seit langem ein Teil der Diskussionen unter Datenschutzbeauftragten waren: Mit dem DSC-Standard muss der tatsächliche Schutz die vom Gesetz vorgegebenen Richtwerte übertreffen. Auf Grundlage der geltenden Gesetze und Verordnungen werden konkrete und praxisbezogene Anforderungen ausgearbeitet, die den DSC-Standard bilden. Das ermöglicht es, die Qualität des Datenschutzes wesentlich zu verbessern. Das geschieht unter anderem dadurch, dass dieser Standard praxisbezogen ist.
Als der DSC-Standard entwickelt wurde, lag das besondere Augenmerk auf der Schließung aller möglichen Sicherheitslücken in der DSGVO und der Weiterentwicklung aller geltenden Richtlinien. Viele Firmen haben Angst vor hohen Strafen bei Nichteinhaltung von Datenschutzbestimmungen, zumal die Strafen ein Unternehmen sogar in seiner Existenz bedrohen können. Das sorgt des Öfteren für Unsicherheiten bei Audits, Bestandsaufnahmen und Prüfungen durch Aufsichtsorgane.
Abgesehen von den technischen und organisatorischen Maßnahmen, die eindeutig ein Streitpunkt darstellen, existiert jede Menge anderer Fragen, die ebenfalls im DSC- Standard geklärt werden. Dazu gehören etwa die Ernennung einer bzw. eines Datenschutzbeauftragten im Unternehmen, dessen / deren Qualifikationen und Nahverhältnis zur Geschäftsführung und andere Fragen. Gerade all diese Anliegen werden im DSC-Standard zum Ausdruck gebracht. Somit dient der Standard als Orientierung für Unternehmen, Behörden und Datenschutzbeauftragte.